作為一名站長,如何才能保障網站後台的安全,是一件非常重要的事情。筆者將一些常見的問題整理出來,希望能站長能夠得到幫助。
1、後台用戶名和密碼是否是明文保存的?
建議增加昵稱字段,區別後台的用戶,同時對用戶名和密碼進行非規范的md5加密,例如加密以後截取15位字串。
2、管理成員是否有權限的劃分
一旦沒有劃分權限,一個編輯用戶的帳戶失竊也可能為你帶來災難性的後果
3、是否有管理日志功能
管理日志必須在近幾日無法被刪除,這是分析入侵者入侵手法的重要依據。
4、後台入口是否隱秘
不要愚蠢地將入口暴露在前台頁面中,也不要使用容易被猜測到的後台入口地址。
5、後台頁面是否使用了meta robots協議限制搜索引擎抓取
Google工具條,百度工具條,或者不經意間出現的後台鏈接都可能導致你的後台頁面被搜索引擎發現,這時候在meta中寫入禁止抓取的語句是個明智的選擇,但是,切莫將後台地址寫入robots.txt,參照第四點。
6、管理頁面是否做了防注入
粗心的程序員往往只考慮了前台頁面的注入。
7、access是否有自定義數據庫備份功能
這是asp+access系統中最臭名昭著的功能,自定義數據庫備份可以讓入侵者輕松獲得webshell
8、是否有自定義sql語句執行功能
同第7點。
9、是否開啟了在線修改模板功能
如果沒有必要,建議不要開啟,防止對方輕易插入跨站腳本。
10、是否直接顯示用戶提交的數據
任何時候,用戶的輸入都是不可信的,設想如果對方輸入了一段惡意js,而你在後台沒有任何防護的情況下就打開?
11、編輯器的漏洞是否清除,是否已經去除了無意義的功能
最有名的例子就是ewebeditor的數據庫漏洞,默認用戶名密碼漏洞等
對於網站後台的安全問題,任何一個環節的疏忽都可能導致災難性的後果,大家須時時注意。